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NOVELTY - installation includes a serial field bus (10) to which a master 
control device (20) and a number of bus subscribers (30, 4^5 oTare 
connected safety-related devices which carry out safe^ functions such 
as e.g a stop function or emergency off function are placed in the' master 
control device and in the bus subscribers. The safety- relate J devices 
(80) can communicate with each other by way of the field bus eV1C£S 

bus bvTf ED DESCRIPTI0N " Each ^s subscriber is connected'to the field 
bus by a bus connecting device. Each bus subscriber and master control 
device has at least one input connected to a monitoring delict e q 
sensor. Each bus subscriber and master control device h^at leas? 'one 
output connected to a device to be safeguarded 

of saStf relf^fn " f ° r * pr ° Cess for the transmission 

of safety- related data in a control and data installation 

SvantIge Sa ltTf ^f" 9 h deViCeS SUCh 38 r ° b0tS ' ma <*ines *"d the like. 

ADVANTAGE - The field bus system, in particular the inter- bus sa f^ v 
procedures are improved and there is no need for additional Unes for the" 
transmission of control signal or redundant safety-related nnill 

of a control T dat a °f DRAWING f S > 7 The block cTrltlt diagram 

ot a control data-transmission installation. 



serial field bus 10 
master control device 20 
bus subscribers 30,40,50 
safety-related devices 80 
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@ Steuer- und Datenubertragungsanlage und Verfahren zum Ubertragen von sicherheitsbezogenen Daten 



@ Die Erfindung betrifft eine Steuer- und Datenubertra- 
gungsanlage sowie ein Verfahren zur Ubertragung von si- 
cherheitsbezogenen Daten in einer Steuer- und Daten- 
ubertragungsanlage. 

Der Erfindung liegt die Aufgabe zugrunde, bestehende 
Feldbussy steme, insbesondere den Interbus, sicherheits- 
technisch derart zu verbessern, daft weder zusatzliche 
Leitungen zur Ubertragung von Steuersignalen noch red- 
undante, sicherheitsbezogene Baugruppen erforderllch 
sind. 

Die Erfindung erreicht dies dadurch, daft in der Master- 
Steuereinrichtung (20) und in den Busteilnehmer (30, 40, 
50) jeweils eine sicherheitsbezogene Einrichtung {210; 80) 
zum Ausfuhren von vorbestimmten Sicherheitsfunktio- 
nen angeordnet ist, und daft die sicherheitsbezogenen 
Einrichtungen {80; 210) uber den Feldbus {10) miteinan- 
der kommunizieren konnen. 
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Beschreibung 



Die Erfindung betrifft eine Steuer- und Datentibertra- 
gungsanlage gemaB dem OberbegrifF des Anspruchs 1 so- 
wie ein Verfahren zum Ubertragen von sicherheitsbezoge- 
nen Daten in einer solchen Anlage nach Anspruch 11. 

Seit mehreren Jahren werden auf dem Gebiet der Auto- 
matisierung immer haufiger Feldbussysteme eingesetzt, an 
die Eingabe-/Ausgabe-Gerate sowie eine iibergeordnete 
Steuereinrichtung angeschaltet sind. Mit solchen Feldbussy- 
stemen kann der Verkabelungsaufwand deutlich verringert 
werden, da Kupferleitungen eingespart werden konnen. Da- 
nut die Feldbussysteme den geforderten sicherheitstechni- 
schen Anforderungen gerecht werden, miissen bestimmte 
Sicherheitsfunktionen, wie z. B. eine Stopp-Funktion oder 
eine Not-Aus-Funktion, durch die das Feldbussystem in ei- 
nen sicheren Zustand gefahren werden kann, realisiert wer- 
den. Bei bisher bekannten Feldbussystemen erfolgt die 
Ubertragung der dazu erforderlichen Steuersignale jeweils 
uber parallele Einzelleitungen, d. h. nicht uber den Feldbus 
selbst. Andere bekannte Ansatze bestehen darin, all diejeni- 
gen Einrichtungen, die Sicherheitsfunktionen ausfuhren sol- 
ien, entsprechend redundant auszulegen. Den bekannten 
Techniken haftet der Nachteil an, daB entweder ein hones 
MaB an redundanten Bauteilen erforderlich ist, oder zur 
Ubertragung der zusatzlichen Steuersignale parallele Ein- 
zelleitungen benotigt werden. 

Der Erfindung liegt daher die Aufgabe zugrunde, die ein- 
gangs genannte Steuer- und Datenubertragungsanlage mit 
einem seriellen Feldbus derart zu verbessem, daB die oben- 
genannten Nachteile vermieden werden und die Flexibility 
der Anlage gesteigert werden kann, indem auf einfache Art 
und Weise Hersteller-unabhangige sicherheitsbezogene 
Baugruppen in der Anlage integriert werden konnen. 

Dieses technische Problem lost die Erfindung zum einen 
mit den Merkmalen des Anspruchs 1 . 

Kerngedanke der Erfindung ist es, ein Feldbussystem mit 
Sicherheitsfunktionen auszustatten, die beispiels weise die 
Kategorie 3 bzw. 4 der europaischen Norm EN 954-1 (Stand 
1996) und die Anforderungsklassen 4 bzw. 6 nach DIN V 
19 250 (Stand Mai 1994) erfullen. 

Dazu ist eine Steuer- und Datenubertragungsanlage mit 
einem seriellen Feldbus vorgesehen, an den eine Master- 
Steuereinrichtung und mehrere Busteilnehmer, das sind bei- 
spiels weise Eingabe-/Ausgabe«Gerate, angeschaltet sind. 
Sowohl in der Master-Steuereinrichtung als auch in den 
Busteilnehmern ist jeweils eine sicherheitsbezogene Ein- 
richtung zum Ausfuhren von vorbestimmten Sicherheits- 
funktionen angeordnet. Unter einer sicherheitsbezogenen 
Einrichtung ist eine Einrichtung zu verstehen, die im we- 
sentlichen unter Ansprechen auf Zustandsinformationen der 
Anlage vorbestimmte Sicherheitsfunktionen ausfuhrt, die 
ermoglichen, daB die gesamte Anlage, vorbestimmte Bau- 
gruppen oder Abschnitte der Anlage einen sicheren Zustand 
erreichen konnen. Sicherheitsfunkuonen umfassen bei- 
spielsweise eine Stopp-Funktion, die die gesamte Anlage 
oder bestimmte Abschnitte der Anlage so schnell wie notig 
in einen sicheren Zustand uberfuhren kann. Auch die Not- 
Aus-Funktion ist eine Sicherheitsfunktion, mit der das ge- 
samte System in einen sicheren Zustand gefahren werden 
kann. Weitere Sicherheitsfunktionen betreffen z. B. das Ver- 
riegeln von Turen, einen unbeabsichtigten Wiederanlauf im 
Fehlerfall der Anlage oder eines vorbestimmten Bereichs 
und andere, beispielsweise in der Europa-Norrn EN 954-1 
definierte Funktionen. Im Unterschied zum Stand derTech- 
nik, nach dem entweder rcdundante Bauteile fur sicherheits- 
technische MaBnahmen implernentiert werden, oder paral- 
lele Leitungen zur Ubertragung der notwendigen Steuersi- 



gnale erforderlich sind, sind die sicherheitsbezogenen Ein- 
richtungen gemaB der Erfindung ohne Redundanz in der 
Master-Steuereinrichtung und sind den Busteilnehmern im- 
plernentiert und in der Lage, uber den Feldbus selbst mitein- 

5 ander zu kornmunizieren. 

Jeder Busteilnehmer ist uber eine Bus-Anschalteinrich- 
tung an den Feldbus angeschlossen. Die Bus-Anschaltein- 
richtung kann einen ASIC-Baustein aufweisen, in dem das 
Datenubertragungsprotokoll implernentiert ist. Bei dem Da- 

10 tenubertragungsprotokoll kann es sich beispielsweise um 
das Interbus-Protokoll handeln, wenn als Feldbus ein Inter- 
bus zum Einsatz kommt. Die Bus-Anschalteinrichtung dient 
dazu, die zwischen den sicherheitsbezogenen Einrichtungen 
auszutauschenden sicherheitsbezogenen Daten in den Nutz- 

15 datenfeldern vorbestimmter Datenrahmen iiber den Feldbus 
zu ubertragen. Sofem ein Interbus-Protokoll verwendet 
wird, ist der Datenrahmen ein Summenrahmen, in dem die 
Nutzdaten aller angeschalteter Busteilnehmer enthalten 
sind. Als sicherheitsbezogene Daten werden in der gesamten 

20 Beschreibung und in den Anspruchen Daten verstanden, die 
den Sicherheitszustand des jeweiligen Bus-Teilnehmers 
oder auch der Master-Sicherheitseinrichtung darstellen. Die 
Sicherheitszustande eines Bus-Teilnehmers werden von 
Uberwachungseinrichtungen, insbesondere Sensoren erfaBt, 

25 die den zu sichemden Baugruppen, die an dem jeweiligen 
Busteilnehmer angeschaltet sind, zugeordnet sind. Bei- 
spielsweise erfaBt ein Sensor die Drehzahl einer Maschine. 
In diesem Fall zeigen die sicherheitsbezogenen Daten an, ob 
die Drehzahl der Maschine im Toleranzbereich liegt oder 

30 eine kritische Drehzahl uberschritten hat. Es ist moglich, 
daB die MAster-Steuereinrichtung und die Busteilnehmer 
die zu iibertragenenden sicherheitsbezogenen Daten in die 
Nutzdatenfelder des jeweiligen Bus-Teilnehmers einzubet- 
ten, so daB die f iir die Master-Steuereinrichtung bestimmten 

35 Nutzdaten und die sicherheitsbezogenen Daten des Busteil- 
nehmers in demselben Buszyklus ubertragen werden kon- 
nen. Daruber hinaus ist es denkbar, die sicherheitsbezoge- 
nen Daten eines Busteilnehmers in dem Nutzdatenfeld wah- 
rend eines separaten Buszyklus zu ubertragen. 

40 In einer bevorzugten Weiterbildung weist die sicherheits- 
bezogene Einrichtung jedes Busteilnehmers und/oder der 
Master-Steuereinrichtung wenigstens einen Eingang auf, 
der mit der Uberwachungseinrichtung, beispielsweise einem 
Sensor verbunden ist. Die sicherheitsbezogene Einrichtung 

45 ist derart ausgebildet, daB sie das Ausgangssignal der tjber- 
wachungseinrichtung negiert und aus dem Ausgangssignal 
und/oder dessen negiertem Ausgangssignal eine Priifinfor- 
mation erzeugt, die zusammen die zu ubertragenden sicher- 
heitsbezogenen Informationen des jeweiligen Busteilneh- 

50 mers darstellen. Auf diese Weise kann die Anlagensicher- 
heit weiter gesteigert, da bei einer fehlerhaften Ubertragung 
der sicherheitsbezogenen Daten die richtige Information 
entweder aus den negierten Daten oder der Prufsumme ge- 
wonnen werden kann. Mit diesem Verfahren kann eine Bit- 

55 fehlerwahrscheinlichkeit von 10" 13 realisiert werden. 

In an sich bekannter Weise weist jeder Busteilnehmer 
und/oder die Master-Steuereinrichtung wenigstens einen 
Ausgang auf, der mit einer zu sicherenden Einrichtung ver- 
bunden ist. Wie bereits erwahnt, kann es sich bei den zu si- 

60 chemden Einrichtungen um Roboter, Maschinen und ahnli- 
ches handeln. 

GemaB einer vorteilhaften Weiterbildung ist jeder Aus- 
gang iiber einen Schalter mit der Bus-Anschalteinrichtung 
und unmittelbar mit der sicherheitsbezogenen Einrichtung 
65 des jeweiligen Busteilnehmers und/oder der Master-Steuer- 
einrichtung verbunden. In Abhangigkeit von dem Aus- 
gangssignal der einer zu sichemden Einrichtung zugeordne- 
tcn Uberwachungseinrichtung offnet oder schlieBt die si- 
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cherheitsbezogene Einrichtung den Schalter. Mit anderen 
Worten wird die zu sichemde Einrichtung in einen sicheren 
Zustand gefahren, d. h. von der Anlage abgeschaltet, wenn 
ein Fehler aufgetreten ist. An dieser S telle sei bereits er- 
wahnt, daB die infolge eines erfaBten Fehlers auszufuhrende 
Sicherheitsfunktion entweder durch das Ausgangssignal der 
jeweiligen Uberwachungseinrichtung erfolgt, oder durch 
entsprechende, von der Master-Steuereinrichtung erzeugte 
und zur sicherheitsbezogenen Einrichtung des jeweiligen 
Busteilnehmers iibertragene sicherheitsbezogenen Daten 
ausgelost wird. 

GemaB einer vorteilhaften Weiterbildung ist der Master- 
Steuereinrichtung eine iibergeordnete Steuereinheit zuge- 
ordnet, die in Abhangigkeit von den sicherheitsbezogenen 
Daten der Busteilnehmer eine oder mehrere vorbestimmte 
Sicherheitsfunktionen auslosen kann. So konnen beispiels- 
weise je nach Art des in einem Busteilnehmer ermittelten 
Fehlers entweder die an diesen Busteilnehmer angeschalte- 
ten zu sichernden Einrichtungen alleine, vorbestimmte Be- 
reiche der Anlage oder sogar die gesamte Anlage abgeschal- 
tet werden. 

Damit die Master-Steuereinrichtung die sicherheitsbezo- 
genen Daten der Busteilnehmer aus dem Datenrahmen aus- 
lesen kann, weist sie eine Empfangseinrichtung, eine Aus- 
wertungseinrichtung zum Auswerten der empfangenen si- 
cherheitsbezogenen Daten und eine Einrichtung auf, die un- 
ter Ansprechen auf die ausgewerteten Daten neue fur den je- 
weiligen Busteilnehmer bestimmte sicherheitsbezogene Da- 
ten erzeugt, die einer vorbestimmten Sicherheitsfunktion 
entsprechen. Die Empfangseinrichtung ist dariiber hinaus 
derart ausgebildet, daB sie die sicherheitsbezogenen Daten, 
deren negierte Daten und die daraus gebildeten Prufinforma- 
tionen des jeweiligen Busteilnehmers empfangen kann, und 
daB die Erzeugungseinrichtung neue sicherheitsbezogene 
Daten, deren negierte Daten und eine daraus gebildete neue 
Prufinformation erzeugen und im Nutzdatenfeld eines Da- 
tenrahmens zum jeweiligen Busteilnehmer iibertragen kann. 

Das technische Problem wird auch durch die Verfahrens- 
schritte des in Anspruch 1 1 beanspruchten Verfahrens zum 
Ubertragen von sicherheitsbezogenen Daten in einer Steuer- 
und Dateniibertragungsanlage gelost. 

Vorteilhafte Weiterbildungen sind in den Unteransprii- 
chen angegeben. 

Die Erfindung wird nachfolgend anhand eines Ausfuh- 
rungsbeispiels in Verbindung mit den beiliegenden Zeich- 
nungen naher erlautert. Darin zeigen: 

Fig, 1 ein stark vereinfachtes Blockschaltbild einer 
Steuer-Datenubertragungs anlage, in der die Erfindung ver- 
wirklicht ist; 

Fig. 2 die Blockschaltbilder zweier Busteilnehmer nach 
Fig- 1, in denen die erfindungsgemaBe sicherheitsbezogene 
Einrichtung implernentiert ist; 

Fig. 3 das Blockschaltbild der in Fig. 1 gezeigten Master- 
Steuereinrichtung mit der erfindungsgemaBen sicherheitsbe- 
zogenen Einrichtung; und 

Fig. 4 einen beispielhaften Datenrahmen, in dem sicher- 
heitsbezogene Information eines Busteilnehmers enthalten 
sind. 

Fig. 1 zeigt exemplarisch ein Interbus-System fur eine 
Steuer- und Dateniibertragungsanlage, wie sie in der Fachli- 
teratur "Interbus-S, Grundlagen und Praxis", Miihtig Buch- 
verlag, Heidelberg, 1994, von Alfredo Baginsky et al. be- 
schrieben wird. An den Interbus 10 sind eine Master-Steuer- 
einrichtung 20 und drei Busteilnehmer 30, 40 und 50 ange- 
schaltet. Es sei ausdrucklieh darauf hingewiesen, daB dies 
eine beispielhafte Ausfiihrungsform ist, wobei die Erfin- 
dung auf andere Feldbusse sowie auf Systeine aus mehreren 
zusammengeschalteten Feldbussen anwendbar ist. Der Bus- 



teilnehmer 30 ist mit einem an sich bekannten Schutzgitter 
60 zur Uberwachung von an den Busteilnehmer 30 ange- 
schalteten Maschinen, Roboter und dergleichen, verbunden. 
In Fig. 2 sind die Busteilnehmer 30 und 40 in Block- 

5 schaltbildform detaillierter dargestellt. Da der schaltungs- 
technische Aufbau der Busteilnehmer im wesentlichen iden- 
tisch ist, wird nur der Aufbau des Busteilnehmers 30 naher 
beschrieben. Der Busteilnehmer 30 ist iiber eine Busan- 
schalteinrichtung 70 an den Interbus 10 angeschaltet. Die 

10 Busanschalteinrichtung 70 kann einen ASIC-Baustein auf- 
weisen, auf dem das an sich bekannte Interbus-Datenuber- 
tragungsprotokoD implernentiert ist Ferner ist in dem Bus- 
teilnehmer 30 eine sicherheitsbezogene Schaltungsanord- 
nung 80 implernentiert, die im Sinne der Erfindung die si- 

15 cherheitstechnische Uberwachung des Busteilnehmers 30 
ubemehmen kann. Die Sicherheitsfunktionen, die die si- 
cherheitstechnische Schaltungsanordnung 80 ausfuhren 
kann, sind in verschiedenen Normen bereits definiert. Dar- 
iiber hinaus lassen sich alle denkbaren Sicherheitsfunktio- 

20 nen durch die sicherheitsbezogene Schaltungsanordnung 80 
verwirklichen. Dazu weist die sicherheitsbezogene Schal- 
tungsanordnung 80 einen Sicherheitsbaustein 90 auf, in dem 
ein vorbestimmtes Sicherheitsprotokoll, das an sich bekannt 
sein kann, implernentiert ist. Der Sicherheitsbaustein 90 

25 fuhrt beispielsweise in Ubereinstimmung mit der EN 954-1 
regelmaBige Selbsttests durch. Dazu ist eine Ausgangslei- 
tung 94 mit Schaltern 95 und 96 verbunden, iiber die die 
Sensoren 100 bzw. 102 mit den Eingangen 92 und 93 ver- 
bunden sind. 

30 Diese Ait von Selbsttest ist an sich bekannt. Der Sicher- 
heitsbaustein 90 weist beispielsweise zwei Eingange 92 und 
93 auf, die mit einem Sensor 100 bzw. 102 verbunden sind, 
die zu iiberwachenden Einrichtungen zugeordnet sind. Bei- 
spielsweise uberwacht der Sensor 100 die Drehzahl einer 

35 Drehmaschine 110 und der Sensor 102 einen SchweiBrobo- 
ter 120. An die Eingange des Sicherheitsbausteins 90 kann 
auch das in Fig. 1 gezeigte Schutzgitter 60 angeschaltet sein. 
Der Ausgang des Sensors 100 ist, wie bereits gezeigt, mit 
dem Eingang 92 des Sicherheitsbausteins 90 und unmittel- 

40 bar mit einem Eingang der Busanschalteinrichtung 70 ver- 
bunden. Auf ahnliche Weise ist der Ausgang des Sensors 
102 mit dem Eingang 93 des Sicherheitsbausteins 90 und 
unmittelbar mit einem Eingang der Bus-Anschalteinrich- 
tung 70 verbunden. Der Sicherheitsbaustein 90 client dazu, 

45 die von den Sensoren 100 und 102 kommenden Eingangsda- 
ten, nachfolgend als die eigentlichen sicherheitsbezogene 
Daten bezeichnet, zu negieren, und als sicherheitsbezogene 
negierte Daten der Bus-Anschalteinrichtung 70 zuzufuhren. 
Dariiber hinaus erzeugt der Sicherheitsbaustein 90 aus den 

50 negierten sicherheitsbezogenen Daten und/oder aus den 
nicht negierten sicherheitsbezogenen Daten eine Prufinfor- 
mation, die ebenfalls der Bus-Anschalteinrichtung 70 zuge- 
fuhrt wird. Die sicherheitsbezogenen Daten, die negierten 
sicherheitsbezogenen Daten und die Prufinformation bilden 

55 die sicherheitsbezogene Information. Diese MaBnahme 
sorgt dafiir, das Sicherheitsverhalten des Interbus-S y stems 
zu verbessern, da die Datenubertragungssicherheit erhoht 
wird. Natiirlich ist es moglich, nur die sicherheitsbezogenen 
Daten der Bus-Anschalteinrichtung 70 zuzufuhren. Es sei 

60 noch einmal erwahnt, daB es sich bei den sicherheitsbezoge- 
nen Daten um die eigendichen Zustandsdaten des Busteil- 
nehmers 30, spezieller um die Zustandsdaten der an ihn an- 
geschalteten zu sichernden Einrichtungen 110 und 120 han- 
delt. Die Bus-Anschalteinrichtung 70 erzeugt einen ge- 

65 wohnLichen Datenrahmen, beim Beispiel des Interbus-Sy- 
stems einen Surnmenrahmen, in dern hintereinander die Ein- 
gangsdaten der angeschalteten Busteilnehmer 30, 40 und 50 
enthalten sind, die zur Master-Steuereinrichtung 20 ubertra- 
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gen werden sollen. Fig. 4 zeigt einen beispielhaften Inter- 
bus-Summenrahrnen 125, der z. B. ein sogenanntes Loop- 
Back- Wort enthalt, das die Master-Steuereinrichtung 20 er- 
zeugt hat. Ein weiteres Feld ist der Priifsumme gewidmet. In 
den Feldem 130, 140 und 150 sind die Nutzdaten des Bus- 5 
teilnehmers 30, 40 bzw. 50 enthalten. Der Summenrahmen 
125 wird einera Buszyklus zur Master-Steuereinrichtung 20 
ubertragen. ErfindungsgemaB hat die Bus-Anschalteinrich- 
tung 70 nunmehr die Aufgabe, die sicherheitsbezogenen In- 
formationen des Busteilnehmers 30 in das ihrn zugeordnete 10 
Feld 130 einzuschreiben. In unserem Beispiel werden die si- 
cherheitsbezogenen Daten der Sensoren 100 und 102 in das 
Feld 132, die negierten sicherheitsbezogenen Daten in das 
Feld 134 und die berechnete Priifinformation in das Feld 136 
eingeschrieben. Es sei angemerkt, daB die in den Feldem 15 
132, 134 und 136 stehenden sicherheitsbezogenen Daten 
entweder das gesamte Nutzdatenfeld 130 des Busteilneh- 
mers 30 besetzen und in einem separaten Buszyklus ubertra- 
gen werden oder aber nur einen Teil des Nutzdatenfeldes 
150 belegen und somit zusammen mit den Nutzdaten des 20 
Busteilnehmers 30 in demselben Buszyklus zur Master- 
Steuereinrichtung 20 ubertragen werden konnen. Dadurch 
kann eine effektivere Dateniibertragung erzielt werden. Die 
Busteilnehmer 30, 40 und 50 konnen nicht nur sicherheits- 
bezogene Informationen zur Master-Steuereinrichtung 20 25 
ubertragen, sondern im Gegenzug auch sicherheitsbezogene 
Daten oder Informationen von der Master-Steuereinrichtung 
20 empfangen. Dazu liest die Bus-Anschalteinrichtung 70 
aus einem Nutzdatenfeld eines Summenrahmens die fur den 
Busteilnehmer 30 bestimmten sicherheitsbezogenen Infor- 30 
mationen aus, die wiederum aus den eigentlichen sicher- 
heitsbezogenen Daten, den negierten sicherheitsbezogenen 
Daten und einer Priifinformation, die allesamt, wie weiter 
unten noch beschrieben wird, in der Master-Steuereinrich- 
tung 20 erzeugt werden. Die Bus-Anschalteinrichtung 70 35 
weist beispielsweise zwei Ausgange 72, 72 auf. An dem 
Ausgang 72 ist iiber einen Schalter 170 die Drehmaschine 
110 und an den Ausgang 73 iiber einen Schalter 180 der 
SchweiBroboter 120 angeschaltet. t)ber die Schalter 170 
und 180 konnen die Drehmaschine 110 und der SchweiBro- 40 
boter 120 im Bedarfsfall von dem Interbus-System getrennt 
werden. Uber die Schalter 170 und 180 werden insbeson- 
dere Steuerdaten, ProzeB- und Parameterdaten zu der Dreh- 
maschine 110 bzw. dem SchweiBroboter 120 oder Parame- 
ter- und ProzeBdaten von diesen zur Bus-Anschalteinrich- 45 
tung ubertragen. Die Ausgange der Schalter 170 und 180 
sind mit dem Sicherheitsbaustein 90 verbunden. Die Bus- 
Anschalteinrichtung 70 ist ebenfalls mit dem Sicherheits- 
baustein 90 verbunden, um die von der Master-Steuerein- 
richtung 20 empfangenen sicherheitsbezogenen Informatio- 50 
nen diesem zuzufuhren. Die von der Master-Steuereinrich- 
tung 20 empfangenen sicherheitsbezogenen Daten entspre- 
chen vorbestimmten Sicherheitsfunktionen, die von dem Si- 
cherheitsbaustein 90 ausgefuhrt werden. Dazu ist der Si- 
cherheitsbaustein 90 ebenfalls mit den Schaltern 170 und 55 
180 verbunden. Der Sicherheitsbaustein 90 erhalt von der 
Bus-Anschalteinrichtung 70 die von der Master-Steuerein- 
richtung 20 kommenden sicherheitsbezogenen Daten, ne- 
gierten sicherheitsbezogenen Daten und die Priifinforma- 
tion, die er zur Ermittlung der entsprechenden Sicherheits- 60 
funktion benotigt. Beispielsweise interpretiert der Sicher- 
heitsbaustein 90 die von der Master-Steuereinrichtung 20 
kommenden sicherheitsbezogenen Daten dahin, daB die 
Drehzahl der Drehmaschine 110 einen kritischen Wert iiber- 
schritten hat, und daB beispielsweise eine Person in den Si- 65 
cherheitsbereich des SchweiBroboters eingedrungen ist. 
Darauthin wird eine vorbestimmte Sicherheitsfunktion aus- 
gelost, die bcwirkt, daB die Schalter 170 und 180 geoffnet 
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werden, so daB die Drehmaschine 110 und der SchweiBro- 
boter 120 von dem INTERBUS 10 abgetrennt werden kon- 
nen. Mit der Zuruckfuhrung der Ausgange der Schalter 170 
und 180 auf den Sicherheitsbaustein 90 wird die Sicherheit 
des Systems weiter verbessert So ist es denkbar, daB die von 
der Master-Steuereinrichtung 20 kommenden sicherheitsbe- 
zogenen Information derart verfalscht worden sind, daB sie 
einen fehlerfreien Zustand widerspiegeln. Tatsachlich aber 
sind in der Drehmaschine 110 und dem SchweiBroboter 120 
Fehler aufgetreten. Durch die ruckgefuhrten Ausgange der 
Schalter 170 und 180 ist der Sicherheitsbaustein 90 in der 
Lage, die tatsachlichen Zustandswerte mit den von der Ma- 
ster-Sicherheitseinrichtung 20 empfangenen sicherheitsbe- 
zogenen Informationen zu vergleichen und die Schalter 170 
und 180 zu offhen oder ofFen zu halten, wenn die Daten 
nicht ubereinstimmen, 

Der Sicherheitsbaustein 90 kann weitere MaBnahmen in 
Ubereinstimmung mit der EN 954-1 enthalten, wie z. B. den 
erwahnten regelmaBig durchgefuhrten Selbsttest so wie ei- 
nen Timer, der beispielsweise nach 40 ms die Schalter 170 
und 180 offhet, um die Drehmaschine 110 und den SchweiB- 
roboter 120 in einen sicheren Zustand zu schalten, wenn 
keine giiltigen sicherheitsbezogenen Daten erkannt worden 
sind. 

Fig. 3 zeigt ein Blockschaltbild der in Fig. 1 dargestellten 
Master-Steuereinrichtung 20. Ailerdings sind nur die erfin- 
dungswesentlichen Merkmale dargestellt. Die Master-Steu- 
ereinrichtung 20 enthalt eine ubergeordnete Steuereinheit 
200, deren Funktion spater noch ausruhrlich beschrieben 
wird. Dariiber hinaus ist in der Master-Steuereinrichtung 20 
eine sicherheitsbezogene Schaltungsanordnung 210 imple- 
mentiert. Ferner weist die Master-Steuereinrichtung 20 eine 
nicht dargestellte Empfangseinrichtung auf, die aus den 
Nutzdatenfeldern eines empfangenen Summenrahmen, bei- 
spielsweise aus dem in Fig. 4 gezeigten Summenrahmen 
125, die sicherheitsbezogenen Informationen der Busteil- 
nehmer 30, 40 und 50 auslesen kann. Beispielhaft werden 
die in dem Nutzdatenfeld 130 iibertragenen sicherheitsbezo- 
genen Daten des Busteilnehmers 30 betrachtet. Die Emp- 
fangseinrichtung fuhrt die eigentlichen sicherheitsbezoge- 
nen Daten, die in dem Unterfeld 132 enthalten sind, einer er- 
sten Priifschaltung 220 zu. Die negierten im Unterfeld 134 
enthaltenen sicherheitsbezogenen Daten werden einer zwei- 
ten Priifschaltung 225 zugefuhrt. Die im Unterfeld 136 iiber- 
tragene Priifinformation wird sowohl der Priifschaltung 220 
als auch der Priifschaltung 225 zugefuhrt. Die Prufschaitun- 
gen 220 und 225 werten die empfangenen Daten aus. Die 
Prufungsschaltung 220, die die eigentlichen sicherheitsbe- 
zogenen Daten verarbeitet, ist mit einer Logikschaltung 230 
verbunden und fuhrt ihre Ausgangsdaten der ubergeordne- 
ten Steuereinheit 200 zu, wahrend die Priifschaltung 225 
ausgangsseitig mit einer Logikschaltung 235 verbunden. 
Die ubergeordnete Steuereinheit 200 erzeugt unter Anspre- 
chen auf das Ausgangssignal der Priifschaltung 220 ein von 
den sicherheitsbezogenen Daten des Busteilnehmers 30 ab- 
hangiges Steuersignal, das der Logikschaltung 230 und der 
Logikschaltung 235 zugefuhrt wird. Die Logikschaltung 
235 erzeugt aus dem Ausgangssignal der Priifschaltung 225 
und dem Steuersignal der iibergeordneten Steuereinrichtung 
200 die eigentlichen sicherheitsbezogenen Daten, die fur 
den Busteilnehmer 30 bestimmt sind. Die Logikschaltung 
230 ermittelt aus dem Steuersignal der ubergeordneten Steu- 
ereinheit 200 und den Ausgangsdaten der Priifschaltung 220 
ein Ausgangssignal das einer Schaltung 240 zugefuhrt 
wird, die ein Ausgangssignal Hefert. das den negierten si- 
cherheitsbezogenen Daten der Logikschaltung 235 ent- 
spricht. Die Schaltung 240 erzeugt ferner entweder eine 
Pru fin formation aus den negierten sicherheitsbezogenen 
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Daten und/oder aus den eigentlichen sicherheitsbezogenen 
Daten. Die eigentlichen sicherheitsbezogenen Daten, die ne- 
gierten sicherheitsbezogenen Daten und die Prufinforma- 
tion, die zusammenfassend als sicherheitsbezogene Infor- 
mation bezeichnet werden, werden von der sicherheitsbezo- 5 
genen Schaltungsanordnung 210 wieder in das Nutzdaten- 
feld eines Summenrahmens eingeschrieben, das fiir den 
Busteilnehrner 30 bestimrat ist. Die Master-Steuereinrich- 
tung 20 ist auch in der Lage, die sicherheitsbezogenen Infor- 
mationen aller angeschalteter Busteilnehrner 30, 40 und 50 10 
auf diese Art und Weise zu verarbeiten und in die entspre- 
chenden Nutzdatenfelder eines Sumrnenrahmens einzu- 
schreiben. 

Unter der Steuerung der ubergeordneten Steuereinheit 
200 kann die sicherheitsbezogene Schaltungsanordnung 210 15 
der Master-Steuereinrichtung 20 wahrend jedes Buszyklus 
oder in vorbestimmten Buszykien vorbestimmte, d. h. ein- 
deutig definierte sicherheitsbezogene Informationen in den, 
den Busteilnehmern 30, 40 und 50 zugeordneten Nutzdaten- 
feldern eines Summenrahmens zu den Busteilnehmern 30, 20 
40, 50 ubertragen. Die sicherheitsbezogenen Einrichtungen 
80 der Busteilnehrner 30, 40 und 50 sind derart ausgebildet, 
daB sie unter Ansprechen auf den tatsachlichen Zustand des 
jeweiligen Busteilnehmers bzw. auf den Zustand der an den 
Busteilnehrner angeschalteten Eingabe-/Ausgabeseinrich- 25 
tungen die empfangenen vorbestimmten sicherheitsbezoge- 
nen Daten verandert oder unverandert zur Master-Steuerein- 
richtung 20 zuriicksenden konnen. Die Master-Steuerein- 
richtung 20 vergleicht die in den Nutzdatenfeldern des Sum- 
menrahmens empfangenen Busteilnehmer-spezifischen, si- 30 
cherheitsbezogenen Informationen mit den vorbestimmten 
sicherheitsbezogenen Informationen. Stimmen die sicher- 
heitsbezogenen Informationen uberein, werden keine Si- 
cherheitsfunktionen ausgelost. Wenn allerdings die empfan- 
genen sicherheitsbezogenen Informationen nicht mit den 35 
vorbestimmten sicherheitsbezogenen Informationen uber- 
einstimmen, kann unter der Steuerung der ubergeordneten 
Steuereinheit 200 die sicherheitsbezogene Schaltungsanord- 
nung 210 sofort entsprechende sicherheitsbezogene Infor- 
mationen erzeugen, die entsprechenden Sicherheitsfunktio- 40 
nen entsprechen. Diese sicherheitsbezogenen Informationen 
werden entweder von der sicherheitsbezogenen Schaltungs- 
anordnung 210 der Master-Steuereinrichtung 20 verwendet, 
um beispielsweise eine Not-Aus-Funktion auszulosen, die 
das gesamte System in einen sicheren Zustand fahrt Ande- 45 
rerseits ist es moglich, daB diese sicherheitsbezogenen In- 
formationen zu den angeschalteten Busteilnehmern 30, 40 
und 50 ubertragen werden, deren sicherheitsbezogene 
Schaltungsanordnungen 70 unter Ansprechen auf die emp- 
fangenen sicherheitsbezogenen Informationen die jeweili- 50 
gen Sicherheitsfunktionen auslosen. Um die Sicherheit des 
Gesamtsystems zu verbessern, konnen die vorbesummten 
sicherheitsbezogenen Informationen ein zweites Mai zu 
dem Busteilnehmern 30, 40 und 50 ubertragen werden, die 
dann wiederum in Abhangigkeit ihres Zustandes diese vor- 55 
bestimmten sicherheitsbezogenen Informationen verandert 
oder unverandert zur Master-Steuereinrichtung 20 zuriick- 
senden. 

Dank der Erfindung, mit der die sicherheitstechnischen 
MaBnahmen zum einen in der Master-Steuereinrichtung 20 60 
und zum anderen in jedem Busteilnehrner 30, 40 bzw. 50 
implementiert werden, wobei die sicherheitsbezogenen Da- 
ten oder Informationen in den Nutzdatenfeldern des Inter- 
bus-Summenrahmens ubertragen werden, ist es moglich, 
das System jederzeit mit herstellerunabhangigen Baugrup- 65 
pen zu erweitem, und die in der ubergeordneten Steuerein- 
heit 200 ablaufende Applikation zu verandern, ohne daB da- 
durch die sicherheitstechnischen Funktionen beeintrachtigt 
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werden. 

Patentanspriiche 

1. Steuer- und Datenubertragungsanlage umfassend 
einen seriellen Feldbus (10), an den eine Master-Steu- 
ereinrichtung (20) und mehrere Busteilnehrner (30, 40, 
50) angeschaltet sind, dadurch gekennzeichnet, daB 
in der Master-Steuereinrichtung (20) und in den Bus- 
teilnehmern (30, 40, 50) jeweils eine sicherheitsbezo- 
gene Einrichtung (210; 80) zum Ausfuhren von vorbe- 
stimmten Sicherheitsfunktionen angeordnet ist und daB 
die sicherheitsbezogenen Einrichtungen (210; 80) iiber 
den Feldbus (10) miteinander kommunizieren konnen. 

2. Steuer- und Datenubertragungsanlage nach An- 
spruch 1, dadurch gekennzeichnet, daB jeder Busteil- 
nehrner (30, 40, 50) iiber eine Bus-Anschalteinrichtung 
(70) an den Feldbus (10) angeschlossen ist, wobei die 
Bus-Anschalteinrichtungen (70) die zwischen den si- 
cherheitsbezogenen Einrichtungen (80; 210) auszutau- 
schenden sicherheitsbezogenen Daten, die den Sicher- 
heitszustand des jeweiligen Bus-Teilnehmers (30, 40, 
50) darstellen, in den Nutzdatenfeldern (130, 140, 150) 
vorbestimmter Datenrahrnen (125) iiber den Feldbus 
(10) ubertragen. 

3. Steuer- und Datenubertragungsanlage nach An- 
spruch 1 oder 2, dadurch gekennzeichnet, daB die si- 
cherheitsbezogene Einrichtung (80; 210) jedes Busteil- 
nehmers (30, 40, 50) und/oder der Master-Steuerein- 
richtung (20) wenigstens einen Eingang (92, 93) auf- 
weist, der mit einer Uberwachungseinrichtung (100, 
102) verbunden ist, wobei die sicherheitsbezogene Ein- 
richtung (80, 210) das Ausgangssignal der Uberwa- 
chungseinrichtung (100, 102) negiert und aus dem 
Ausgangssignal und/oder dessen negiertem Ausgangs- 
signal eine Priifinformation erzeugt, die die zu iibertra- 
genden sicherheitsbezogenen Daten darstellen. 

4. Steuer- und Datenubertragungsanlage nach einem 
der Anspruche 1 bis 3, dadurch gekennzeichnet, daB je- 
der Busteilnehrner (30, 40, 50) und/oder die Master- 
Steuereinrichtung (20) wenigstens einen Ausgang (72, 
73) aufweist, der mit einer zu sichernden Einrichtung 
(110, 120) verbunden ist. 

5. Steuer- und Datenubertragungsanlage nach An- 
spruch 4, dadurch gekennzeichnet, daB jeder Ausgang 
(72, 73) iiber einen Schalter (170, 180) mit der Bus-An- 
schalteinrichtung (70) und unmittelbar mit der sicher- 
heitsbezogenen Einrichtung (90) des jeweiligen Bus- 
teilnehmers (30, 40, 50) und/oder der Master-Steuer- 
einrichtung (20) verbunden ist. 

6. Steuer- und Datenubertragungsanlage nach An- 
spruch 5, dadurch gekennzeichnet, daB die sicherheits- 
bezogene Einrichtung (80; 210) unter Ansprechen auf 
das Ausgangssignal der entsprechenden Uberwa- 
chungseinrichtung (100, 102) den Schalter (170, 180) 
off net oder schlieBt. 

7. Steuer- und Datenubertragungsanlage nach einem 
der Anspruche 2 bis 6, dadurch gekennzeichnet, daB 
die sicherheitsbezogene Einrichtung (210) der Master- 
Steuereinrichtung (20) eine Empfangseinrichtung zum 
Empfangen der sicherheitsbezogenen Daten jedes Bus- 
teilnehmers, eine Auswertungseinrichtung (220, 225) 
zum Auswerten der empfangenen sicherheitsbezoge- 
nen Daten und eine Einrichtung (200, 230, 235, 240) 
aufweist, die unter Ansprechen auf die ausgewerteten 
Daten neue fur den jeweiligen Busteilnehrner (30, 40, 
50) bestimmte sicherheitsbezogene Daten erzeugt, die 
einer vorbestimmten Sicherheitsfunktion entsprechen. 
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8. Steuer- und Daieniibertragungsanlage nach An- 
spruch 3 und 7, dadurch gekennzeichnet, daB die Emp- 
fangseinrichtung zum Empfangen der sicherheitsbezo- 
genen Daten, deren negierten Daten und der Prufinfor- 
mation ausgebildet ist, und daB die Erzeugungseinrich- 5 
tung (200, 230, 235, 240) zum Erzeugen der neuen si- 
eherheitsbezogenen Daten, deren negierter Daten und 
einer neuen Prufinformation ausgebildet ist. 

9. Steuer- und Datenilbertragungsanlage nach einem 
der Anspruche 2 bis 8, dadurch gekennzeichnet, daB 10 
der Feldbus (10) ein INTERBUS nach DIN 19258 und 
der Datenrahmen ein Summenrahmen (125) ist, der die 
Eingangs- oder Ausgangsdaten eines jeden Busteilneh- 
mers (30, 40, 50) enthalt. 

10. Steuer- und Datenubertragungsanlage nach einem 15 
der Anspruche 1 bis 9, dadurch gekennzeichnet, daB 
der Master-Steuereinrichtung (20) eine ubergeordnete 
Steuereinheit (200) zugeordnet ist, die in Abhangigkeit 
von den sicherheitsbezogenen Daten der Busteilneh- 
mer (30, 40, 50) eine oder mehrere vorbestimmte Si- 20 
cherheitsfunktionen auslost. 

11. Verfahren zum Ubertragen von sicherheitsbezoge- 
nen Daten in einer Steuer- und Datenubertragungsan- 
lage nach einem der Anspruche 1 bis 10, die einen seri- 
ellen Feldbus (10) und daran angeschaltete Busteilneh- 25 
mer (30, 40, 50) sowie eine daran angeschaltete Ma- 
ster-Steuereinrichtung (20) umfaBt, mit folgenden Ver- 
fahren sschritten: 

a) Implementieren eines Datenubertragungspro- 
tokolls und eines Sicherheitsprotokoils zur Aus- 30 
fiihrung vorbestimmter, anlagespezifischer Si- 
cherheitsfunktionen in jedem Busteiinehmer und 

in der Master-Steuereinrichtung; 

b) unter Ansprechen auf die Ausgangssignale ei- 
ner dem Busteiinehmer zugeordneten Uberwa- 35 
chungseinrichtung erzeugt das entsprechende Si- 
cherheitsprotokoli sicherheitsbezogene Daten, die 
den Zustand des jeweiligen Busteilnehmers wi- 
derspiegeln, und leitet diese an das Datenubertra- 
gungsprotokoll weiter; 40 

c) das Dateniibertragungsprotokoll iibertragt die 
sicherheitsbezogenen Daten des jeweiligen Bus- 
teilnehmers in dem Nutzdatenfeld eines vorbe- 
stirnmten Datenrahmens iiber den seriellen Feld- 
bus zur Master-Steuereinrichtung; 45 

d) das Sicherheitsprotokoll der Master-Steuerein- 
richtung empfangt die vom Busteiinehmer kom- 
menden sicherheitsbezogenen Daten, erzeugt in 
Abhangigkeit davon neue sicherheitsbezogene 
Daten, die einer vorbestimmten Sicherheitsfunk- 50 
tion entsprechen, und iibertragt die neuen sicher- 
heitsbezogenen Daten in dem Nutzdatenfeld eines 
Datenrahmens zu dem entsprechenden Busteii- 
nehmer zuruck; 

e) unter Ansprechen auf die neuen sicherheitsbe- 55 
zogenen Daten fuhrt das Sicherheitsprotokoll des 
Busteilnehmers die zugehorige Sicherheitsfunk- 
tion aus. 

12. Verfahren nach Anspruch 11. dadurch gekenn- 
zeichnet, daB 60 
in Schritt b) das Sicherheitsprotokoll die sicherheitsbe- 
zogenen Daten negiert und eine Prufinformation aus 
den sicherheitsbezogenen Daten und/oder den negier- 
ten sicherheitsbezogenen Daten eine Prufinformation 
bildet und daB 65 
in Schritt d) aus den ernptangenen sicherheitsbezoge- 
nen Daten und deren negierten Daten sowie der Priifin- 
formation neue sicherheitsbezogene Daten, neue ne- 



gierte sicherheitsbezogene Daten und eine neue Prufin- 
formation erzeugt werden. 

13. Verfahren nach Anspruch 11 oder 12, dadurch ge- 
kennzeichnet, 

daB die Master-Steuereinrichtung in jedem Buszyklus 
vorbestimmte sicherheitsbezogene Daten zu den ange- 
schalteten Busteilnehmem iibertragt, 
daB die Busteiinehmer in Abhangigkeit ihres Sicher- 
heitszustands sicherheitsbezogene Daten erzeugen und 
zur Master-Steuereinrichtung zuriickschicken, die die 
ausgesendeten vorbestimmten sicherheitsbezogenen 
Daten mit den von jedem Busteiinehmer empfangenen 
sicherheitsbezogenen Daten vergleicht und vorbe- 
stimmte Sicherheitsfunktionen austtjst, wenn das Ver- 
gleichsergebnis negativ ist. 
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